You are on page 1of 26

AUDIT KONTROL TATA KELOLA TI

Tugas Mata Kuliah
Auditing EDP

Oleh:
KELOMPOK 6

1. Diah Dwi Utami NIM. 150810301104
2. Yuni Citra Andini NIM. 150810301054
3. Aprilina Dyah Anggraeni NIM. 150810301050
4. Erfita Mutiara Citra NIM. 150810301017
5. Intan Anizurrahmah NIM. 150810301037

Program Studi Strata Satu Akuntansi
Fakultas Ekonomi dan Bisnis
Universitas Jember
Tahun 2018

PENDAHULUAN

Bab ini menyajikan risiko, kontrol, dan tes kontrol yang terkait dengan tata
kelola TI. Ini terbuka dengan mendefinisikan tata kelola TI dan elemen tata kelola TI
yang memiliki pengendalian internal dan implikasi pelaporan keuangan. Pertama,
menyajikan eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat.
Selanjutnya, bab ini mengulas ancaman dan kontrol pusat komputer, termasuk
melindunginya dari kerusakan dan kerusakan akibat bencana alam, kebakaran, suhu,
dan kelembaban. Bab ini kemudian menyajikan elemen kunci dari rencana pemulihan
bencana, termasuk menyediakan cadangan situs kedua, mengidentifikasi aplikasi
penting, melakukan prosedur penyimpanan cadangan dan off-side, menciptakan tim
pemulihan bencana, dan menguji rencana tersebut. Bagian akhir bab ini menyajikan
isu-isu mengenai tren yang berkembang terhadap outsourcing TI. Logika di balik
keputusan manajemen untuk melakukan outsourcing dieksplorasi. Bab ini juga
mengungkapkan manfaat yang diharapkan dan risiko yang terkait dengan outsourcing.
Bab ini diakhiri dengan diskusi tentang masalah audit di lingkungan outsourcing dan
peran laporan $ AS 70.

1

Dalam bab ini. Operasi di pusat komputer 3. Sebelum Undang-Undang Sarbanes-Oxley (SOX). Tata kelola TI modern. Struktur organisasi fungsi TI 2. tujuan audit disajikan. akuntansi dan keuangan) menjadi peserta aktif dalam keputusan TI utama. dan persyaratan pengendalian internal di bawah SOX. termasuk dewan direksi. mengikuti filosofi bahwa semua pemangku kepentingan perusahaan. Keterlibatan berbasis dewan tersebut mengurangi risiko dan meningkatkan kemungkinan keputusan TI sesuai dengan kebutuhan penggunaan. inisiatif strategis. dan pengguna departemen (yaitu. bagaimanapun. kami mempertimbangkan tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO. kebijakan perusahaan. PEMBAHASAN TATA KELOLA TEKNIS INFORMASI Tata kelola Teknologi Informasi (TI) Merupakan subset yang relatif baru dari tata kelola perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis. Perencanaan pemulihan bencana Diskusi mengenai masing-masing masalah tata kelola ini dimulai dengan penjelasan tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi risiko. Akhirnya. tidak semuanya merupakan masalah pengendalian internal di bawah SOX yang berpotensi mempengaruhi proses pelaporan keuangan. manajemen puncak. Kemudian. Kontrol Tata Kelola TI Meskipun semua masalah tata kelola TI penting bagi organisasi. Tes ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanan pengabdian mereka atau oleh auditor internal (atau profesional penasehat layanan) 2 . Ini adalah: 1. yang menetapkan apa yang perlu diverifikasi mengenai fungsi kontrol di tempat. contoh tes kontrol ditawarkan yang menjelaskan bagaimana auditor dapat mengumpulkan bukti untuk memenuhi tujuan audit. Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan bahwa investasi sumber daya TI memberi nilai tambah bagi korporasi. praktik umum mengenai investasi TI adalah untuk menunda semua keputusan terhadap profesional TI perusahaan.

dan pengembangan dan pemeliharaan sistem. bahwa sebagian besar struktur organisasi mencakup elemen dari kedua model. Pengguna akhir bersaing untuk mendapatkan sumber daya ini berdasarkan kebutuhan. Ini diilustrasikan melalui dua model organisasi ekstrim .1 mengilustrasikan pendekatan ini. Dalam hal ini. Deskripsi fungsi kunci dari masing-masing bidang berikut. kontrol. bagaimanapun.yang memberikan bukti kepatuhan manajemen SOX. yang pada gilirannya. memiliki komplikasi untuk audit.2 menggambarkan struktur layanan TI terpusat dan menunjukkan area layanan utamanya: administrasi database. STRUKTUR FUNGSI TEKNOLOGI INFORMASI Organisasi fungsi TI memiliki implikasi untuk sifat dan efektivitas pengendalian internal. di mana aktivitas layanan TI dikonsolidasikan dan dikelola sebagai sumber organisasi bersama. 3 . Pada bagian ini. Gambar 2.pendekatan terpusat dan pendekatan terdistribusi. semua pemrosesan data oleh satu atau lebih komputer besar ditempatkan di lokasi utama yang melayani pengguna di seluruh organisasi. Gambar 2. Pengolahan data terpusat Di bawah model pemrosesan data terpusat. Pembaca harus menyadari. dan masalah audit yang terkait dengan masing-masing model kemudian dibahas. beberapa masalah kontrol penting yang terkait dengan struktur TI diperiksa. Risiko. Fungsi layanan TI biasanya diperlakukan sebagai pusat biaya yang biaya operasinya dibebankan kembali ke pengguna akhir. kami tidak membedakan antara dua jenis layanan. pengolahan data.

Tren dalam beberapa tahun terakhir menuju pemrosesan real-time dan peningkatan penggunaan file akses langsung telah mengurangi atau bahkan menghilangkan peran pustakawan data di banyak organisasi. yang bertanggung jawab atas penerimaan. atau perangkat penyimpanan lainnya. CD-ROM. Pustakawan mengeluarkan file data ke operator komputer sesuai dengan permintaan program dan mengambil hak asuh file saat prosedur pemrosesan atau pencadangan selesai dilakukan. dan perpustakaan data. Selain itu. Pengolahan data Kelompok pengolahan data mengelola sumber daya komputer yang digunakan untuk melakukan pemrosesan transaksi sehari-hari. File-file itu bisa berupa backup atau file data saat ini. Misalnya. pengambilan. dan penyimpanan file data. perpustakaan data digunakan untuk menyimpan salinan asli perangkat lunak komersial dan lisensi mereka untuk penyimpanan. kaset. atau dalam sistem tipe legacy. Ini terdiri dari fungsi organisasi berikut: konversi data.Administrasi Database Perusahaan yang dikelola secara sentral mempertahankan sumber data mereka di lokasi sentral yang dimiliki oleh semua pengguna akhir. mengendalikan akses ke perpustakaan. operasi komputer. perpustakaan data dapat digunakan untuk menyimpan data cadangan pada DVD. konversi data bisa melibatkan aplikasi penjualan keystroking order dalam sistem modern. Misalnya. Perpustakaan Data Perpustakaan data adalah ruangan yang berdekatan dengan pusat komputer yang menyediakan penyimpanan yang aman untuk file data off-line. Ini juga bisa digunakan untuk menyimpan file data operasional saat ini pada kaset magnetik dan paket disk yang dapat dilepas. 4 . penyimpanan. yang dikelola oleh kelompok operasi komputer. Aplikasi akuntansi biasanya dijalankan sesuai jadwal yang ketat yang dikontrol oleh sistem operasi komputer pusat. Operasi Komputer File elektronik yang dihasilkan dalam konversi data kemudian diproses oleh komputer pusat. Seorang pustakawan data. sebuah kelompok independen yang dipimpin oleh administrator database (DBA) bertanggung jawab atas keamanan dan integritas database. Dalam pengaturan data bersama ini. Konversi data Fungsi konversi data mentranskripsikan data transaksi dari dokumen sumber hard copy menjadi input komputer.

dan pemrogram yang merancang dan membangun sistem. dan pemangku kepentingan. Sistem profesional meliputi analis sistem. fokus kontrol segregasi bergeser dari tingkat operasional (tugas pemrosesan transaksi yang dilakukan komputer sekarang) ke hubungan organisasi 5 . Produk dari usaha mereka adalah sebuah sistem informasi baru. Pemangku kepentingan adalah individu di dalam atau di luar perusahaan yang memiliki kepentingan dalam sistem. Segregasi fungsi TI yang tidak kompatibel Secara khusus. pembagian tugas antar rekening di antara individu-individu karena rupa kekurangan kolusi antara dua atau lebih penipuan individu tidak akan mungkin dilakukan. sebanyak 80 atau 90 persen dari total biaya dapat dikeluarkan melalui kegiatan pemeliharaan. menganalisis fakta. tugas operasional harus menjadi: 1. pengguna akhir. Peserta dalam kegiatan pengembangan sistem meliputi profesional sistem profesional. Pemeliharaan tern mengacu pada perubahan program logika untuk mengakomodasi pergeseran kebutuhan pengguna dari waktu ke waktu. Mereka adalah manajer yang menerima laporan dari sistem dan personil operasi yang bekerja secara langsung dengan sistem sebagai bagian dari tanggung jawab harian mereka. perancang basis data. memproses. pencatatan terpisah dari penitipan aset. auditor internal. dan merumuskan solusi. Aplikasi tunggal dapat memberi otorisasi. namun bukan pengguna akhir. Untuk kelompok terdahulu bertanggung jawab untuk menganalisis kebutuhan pengguna dan merancang sistem baru untuk memenuhi kebutuhan tersebut.Pengembangan dan Pemeliharaan Sistem Sistem informasi kebutuhan pengguna dipenuhi oleh dua fungsi terkait: pengembangan dan pemeliharaan sistem. Selama perjalanan hidup sistem (sering beberapa tahun). Mereka termasuk akuntan. Sistem profesional mengumpulkan fakta tentang masalah pengguna. Lingkungan TI cenderung mengkonsolidasikan aktivitas. dan pihak lain yang mengawasi pengembangan sistem. Pengguna akhir adalah mereka yang sistemnya dibangun. kelompok pemeliharaan sistem bertanggung jawab untuk menjaga agar tetap sesuai dengan kebutuhan pengguna. pemisahan otorisasi transaksi dari proses transaksi. Aplikasi tunggal mungkin autho Lingkungan TI cenderung mengkonsolidasikan aktivitas. Dengan demikian. 2. Setelah sistem baru dirancang dan diterapkan. dan mencatat semua aspek transaksi. auditor eksternal. 3.

kita lihat dari Gambar 2. Dengan pendekatan ini. analisis sistem dan pemrograman (lihat gambar 2. Staf operasi harus menjalankan sistem ini dan tidak memiliki keterlibatan dalam desain mereka. Kelompok pemrograman mengkodekan program sesuai dengan spesifikasi desain ini.3). kelompok analisis sistem bekerja dengan pengguna untuk menghasilkan desain rinci dari sistem baru. Fungsi-fungsi ini pada dasarnya tidak sesuai. Mendelegasikan tanggung jawab ini kepada orang lain yang melakukan tugas yang tidak sesuai mengancam integritas database. dan mengkonsolidasikannya mengundang kesalahan dan kecurangan. Memisahkan Pengembangan Sistem dari Operasi Komputer Pemisahan pengembangan sistem (baik pengembangan dan pemeliharaan sistem baru) dan kegiatan operasi sangat penting.tingkat tinggi dalam fungsi layanan komputer. Memisahkan pengembangan sistem baru dari perawatan Beberapa perusahaan mengatur fungsi pengembangan sistem in-house mereka menjadi dua kelompok. Memisahkan Administrasi Database dari Fungsi Lain Kontrol organisasi penting lainnya adalah pemisahan administrator database (DBA) dari fungsi pusat komputer lainnya. termasuk membuat skema database dan tampilan pengguna. atau menjalankan aplikasi (misalnya. Dengan menggunakan bagan organisasi pada Gambar 2. memantau penggunaan basis data.2 Bagaimana cara kerja DBA secara organisasi tidak tergantung pada operasi. dan seharusnya tidak terlibat dalam memasukkan data. seseorang dapat membuat perubahan yang tidak sah pada aplikasi selama eksekusi. pemeliharaan sistem. administrasi database. Profesional pengembangan dan pemeliharaan sistem harus menciptakan (dan memelihara) sistem bagi pengguna. Perubahan semacam itu mungkin bersifat sementara ("on the fly") dan akan hilang tanpa jejak saat aplikasi berakhir. Dengan pengetahuan yang terperinci dari parameter logika dan kontrol aplikasi dan akses ke sistem operasi dan utilitas komputer. Fungsi DBA bertanggung jawab atas sejumlah tugas penting yang berkaitan dengan keamanan database. Hubungan antara kelompok- kelompok ini harus sangat formal. pengembangan sistem. pemrogram yang mengkode program asli juga memelihara sistem selama fase pemeliharaan siklus pengembangan sistem 6 . dan aktivitas operasi komputer diperiksa selanjutnya. Jadi.2 sebagai rujukan. menetapkan otoritas akses database kepada pengguna. keterkaitan antara pengembangan sistem. dan tanggung jawab mereka seharusnya tidak digabungkan. operasi komputer). dan merencanakan perluasan di masa depan. dan pemeliharaan.

masa transisi mungkin panjang dan mahal. dan menerapkannya.(dibahas di Bab 5). pemrogram dapat dengan bebas mengakses sistem. memprogram. Profesional sistem lebih memilih untuk beralih ke proyek baru yang menarik daripada dokumen yang baru saja selesai. potensi penipuan meningkat. Dokumentasi yang tidak memadai Dokumentasi sistem yang berkualitas buruk adalah masalah TI yang kronis dan tantangan yang signifikan bagi banyak organisasi yang menginginkan kepatuhan SOX. Setelah berhasil 7 . pendekatan ini dikaitkan dengan dua jenis masalah kontrol: dokumentasi yang tidak memadai dan potensi kecurangan program. Kecurangan program melibatkan perubahan yang tidak sah pada modul program untuk tujuan melakukan tindakan ilegal. Ketika programmer meninggalkan perusahaan. seorang programmer baru mewarisi tanggung jawab pemeliharaan terhadap sistem yang tidak terdokumentasi. Pemrogram asli mungkin telah berhasil menyembunyikan kode penipuan di antara ribuan baris kode yang sah dan ratusan modul yang membentuk sebuah sistem. Ketika sebuah sistem didokumentasikan dengan buruk. Pemrogram perlu melindungi kode palsu dari deteksi yang tidak disengaja oleh pemrogram lain yang melakukan perawatan atau oleh auditor yang menguji kontrol aplikasi. Melalui otoritas pemeliharaan ini. sulit untuk menafsirkan. Oleh karena itu. menguji. dan mengimplementasikan proyek sistem baru. Struktur superior untuk pengembangan sistem Kelompok pengembangan sistem baru bertanggung jawab untuk merancang. Pertama. menguji. dan melakukan debug. mendokumentasikan sistem tidak semenarik merancang. Setidaknya ada dua penjelasan untuk fenomena ini. pemrogram yang memahami sistem (orang yang mengodeinya) mempertahankan kekuatan tawar menawar dan menjadi sangat diperlukan. programmer harus bisa mengendalikan situasi melalui akses eksklusif dan tidak terbatas ke program aplikasi. Oleh karena itu. Bergantung pada kompleksitasnya. Alasan kedua untuk dokumentasi yang buruk adalah keamanan kerja. menonaktifkan kode penipuan selama audit dan kemudian mengembalikan kode saat pantai menjadi jelas. Program Penipuan Bila pemrogram asli dari suatu sistem juga diberi tanggung jawab pemeliharaan. Agar kecurangan berhasil. Penipuan semacam ini bisa berlanjut bertahun-tahun tanpa deteksi. memiliki tanggung jawab atau pemeliharaan sepenuhnya merupakan elemen penting dalam skema pemrogram duplikat. Meskipun ada pengaturan yang sama.

mencegah. standar dokumentasi ditingkatkan karena kelompok pemeliharaan memerlukan dokumentasi untuk melaksanakan tugas perawatannya. karena pengguna sekarang melakukan tugas ini. DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang berada di bawah kendali pengguna akhir. Restrukturisasi ini memiliki implikasi yang secara langsung menangani dua masalah kontrol yang baru saja dijelaskan. Topik DDP cukup luas. Tingkat dimana mereka didistribusikan akan bervariasi tergantung pada filosofi dan tujuan manajemen organisasi. Namun. dan murah telah mengubah gambar ini secara dramatis. di bawah model ini. sistem kecil. tanggung jawab atas pemeliharaan berkelanjutan sistem ini sampai pada kelompok pemeliharaan sistem. menyentuh topik terkait seperti komputasi pengguna akhir. transfer formal tanggung jawab sistem dari pengembangan sistem baru ke pemeliharaan sistem tidak dapat terjadi. jaringan. tidak sesuai dengan kontrol programmer dan nantinya dapat ditemukan meningkatkan risiko yang terkait dengan kecurangan program. lokasi geografis.4 menyajikan dua alternatif pendekatan DPP. skala ekonomi menyukai komputer besar dan kuat dan pemrosesan terpusat. Semua atau fungsi TI yang ditunjukkan pada Figura 2. atau keduanya. Namun sekarang. Kedua. dan otomasi kantor. menolak akses programmer asli di masa depan untuk mencegah program penipuan program. Meskipun pemisahan organisasi saja tidak dapat menjamin bahwa kecurangan komputer tidak akan terjadi. yang dulu disembunyikan dengan sistem. dan administrasi basis data tetap terpusat. pengembangan sistem. Tanpa dokumentasi yang lengkap dan memadai. Unit TI dapat didistribusikan sesuai dengan fungsi bisnis.2 dapat didistribusikan. Alternatif ini 8 . Keberhasilan pengendalian ini bergantung pada adanya kontrol lain yang membatasi. Bahwa kode curang. dan mendeteksi akses tidak sah ke program (seperti kontrol perpustakaan program sumber). Pertama. Gambar 2. Alternatif model terpusat adalah konsep distributed data processing (DDP). Alternatif A sebenarnya adalah varian dari model terpusat. operasi komputer. namun penting untuk menciptakan lingkungan pengendalian yang diperlukan. Model Terdistribusi Selama bertahun-tahun. Secara sederhana.diimplementasikan. Perbedaannya adalah bahwa terminal (atau mikrokomputer) didistribusikan ke pengguna akhir untuk menangani input dan output. kuat. perangkat lunak komersial. Alternatif B adalah keberangkatan yang signifikan dari model terpusat. Ini menghilangkan kebutuhan akan kelompok konversi data terpusat.

mendistribusikan semua layanan komputer kepada pengguna akhir. adalah risiko salah urus sumber daya TI di seluruh organisasi oleh pengguna akhir. Beberapa berpendapat bahwa ketika sumber daya keseluruhan organisasi melebihi ambang batas. Resiko yang terkait dengan DDP Bagian ini membahas risiko organisasi yang perlu dipertimbangkan saat menerapkan DDP. di mana mereka beroperasi sebagai standalone Alternatif B adalah keberangkatan yang signifikan dari model terpusat. Misalnya. pemrograman. yang bisa digunakan dengan sedikit atau tanpa perubahan oleh orang lain. Penggunaan sumber daya yang tidak efisien DDP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait dengan penggunaan sumber daya organisasi yang tidak efisien. Masalah potensial meliputi penggunaan sumber daya yang tidak efisien. Pertama. Alternatif ini mendistribusikan semua layanan komputer kepada pengguna akhir. penghancuran jalur audit. Perhatikan interkoneksi antara unit terdistribusi pada Gambar 2. Kedua. potensi kesalahan pemrograman dan kegagalan sistem yang meningkat. Koneksi ini mewakili pengaturan jaringan yang memungkinkan komunikasi dan transfer data antar unit. tata kelola TI yang efektif memerlukan pengelolaan pusat dan pemantauan sumber daya semacam itu. Inisiatif pengembangan sistem otonom yang didistribusikan melalui perusahaan dapat mengakibatkan setiap pengguna tidak memanfaatkan roda daripada mendapatkan manfaat dari pekerjaan orang lain. akan didesain ulang dari awal daripada dibagi. konversi data. di mana mereka beroperasi sebagai unit mandiri. program aplikasi yang dibuat oleh satu pengguna. Demikian juga. misalnya 5 persen dari total anggaran operasi.5 menunjukkan struktur organisasi yang mungkin mencerminkan distribusi semua tugas pengolahan data tradisional ke area pengguna akhir. menghasilkan 9 . Disscusion berfokus pada isu-isu penting yang membawa implikasi pengendalian yang harus diakui auditor. data yang umum bagi banyak pengguna dapat diciptakan kembali untuk masing-masing. Ini diuraikan di bawah ini. Hasilnya adalah penghapusan fungsi TI pusat dari struktur organisasi. dan pengelolaan basis data memenuhi atau melampaui ambang batas ini. DDP dapat meningkatkan risiko inefisiensi operasional karena adanya tugas berlebihan yang dilakukan dengan komite pengguna akhir. Bagi banyak organisasi. pemisahan tugas yang tidak memadai. dan kurangnya standars. Gambar 2. layanan TI mencakup operasi komputer.4.

Keadaan ini berimplikasi pada akurasi data dan konsistensi. Perangkat keras dan perangkat lunak tidak kompatibel dan kemungkinan penghancuran jalur audit. Juga. pengambil keputusan di unit organisasi defferent yang bekerja secara independen dapat menyesuaikan diri dengan sistem operasi. Pemisahan tugas yang tidak memadai.tingkat redundansi data yang tinggi. Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi) perusahaan dan laporan keuangan yang melaporkan kegiatan tersebut. dan paket database yang berbeda dan tidak kompatibel. dan akun buku besar yang mencatat kejadian tersebut. Misalnya. dan mengoperasikan peralatan komputer. Mendistribusikan responbilitas untuk pembelian TI kepada pengguna akhir dapat mengakibatkan keputusan yang tidak terkoordinasi dan kurang dipahami. memasukkan data transaksi ke komputer. Distribusi layanan TI kepada pengguna dapat menghasilkan penciptaan unit independen kecil yang tidak mengizinkan pemisahan fungsi yang tidak sesuai yang diinginkan. pada akhirnya ke laporan keuangan itu sendiri. Mencapai pemisahan tugas yang memadai mungkin tidak dapat dilakukan di beberapa lingkungan terdistribusi. Ketiga. dalam satu unit orang yang sama dapat menulis program aplikasi. spreadsheet. Demikian pula. jika pengguna akhir secara tidak sengaja memasukkan kesalahan transaksi ke dalam file jejak audit. buku besar pembantu. Auditor menggunakan jejak audit untuk melacak transaksi keuangan terpilih dari dokumen sumber yang menangkap kejadian tersebut. Jika pengguna akhir secara tidak sengaja menghapus salah satu file. itu bisa menjadi rusak. peluang untuk pertumbuhan pribadi. Misalnya. jalur audit terdiri dari file transaksi digital dan file induk yang sebagian berada pada komputer pengguna akhir. Mempekerjakan Profesional Berkualitas. melalui jurnal. Situasi seperti itu akan menjadi pelanggaran mendasar pengendalian internal. Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI untuk mengevaluasi kredensial teknis dan pengalaman kandidat yang relevan yang berlaku untuk posisi profesional TI. melakukan perawatan program. platform teknologi. 10 . Dalam sistem DDP. jika unit organisasi yang masuk ke karyawan baru kecil. jejak audit bisa dihancurkan dan tidak terpulihkan. lingkungan DDP menimbulkan risiko perangkat keras dan perangkat lunak yang tidak kompatibel di antara fungsi pengguna akhir. pengolah kata. Pemusnahan jalur audit. Jejak audit sangat penting bagi auditor untuk membuktikan layanannya.

dan mengevaluasi kinerja mungkin tidak rata diterapkan atau bahkan tidak ada. mencapai skala ekonomi merupakan justifikasi utama untuk pendekatan pengolahan data terpusat. Ketika manajer dilarang membuat keputusan yang diperlukan untuk mencapai tujuan mereka. bagi banyak pengguna. sistem terpusat yang besar merepresentasikan jumlah berlebihan yang mahal sehingga mereka harus melarikan diri. Jadi. mahal. Selain itu. standar tersebut diterapkan secara konsisten.pendidikan lanjutan. Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi mereka. dan kuat. memperoleh perangkat keras dan perangkat lunak. manajer mungkin mengalami kesulitan menarik personil berkualifikasi tinggi. Risiko kesalahan pemrograman dan kegagalan sistem meningkat secara langsung dengan tingkat ketidakmampuan karyawan. sudah tidak menjadi pertimbangan utama. Penentang DDP berpendapat bahwa risiko yang terkait dengan perancangan dan pengoperasian sistem DDP hanya dapat ditolerir. kepindahan ke DDP telah mengurangi biaya di dua area lainnya. bagaimanapun. KEUNTUNGAN DDP Pengurangan biaya. Kurangnya Standar. standar untuk mengembangkan dan mendokumentasikan sistem. Tanggung jawab ini mengharuskan mereka diberi wewenang yang benar dengan wewenang untuk membuat keputusan tentang sumber daya yang mempengaruhi keseluruhan kesuksesan mereka. Mikrokomputer canggih dan mahal dan minicomputer yang bisa melakukan fungsi khusus telah mengubah ekonomi pengolahan data secara dramatis. Biaya overhead yang terkait dengan menjalankan sistem semacam itu. Manajemen yang kurang agresif dan kurang efektif dapat berkembang. dan promosi mungkin terbatas. Perekonomian pemrosesan data disukai komputer besar. biaya unit penyimpanan data. Tanggung Jawab Kontrol Biaya yang Lebih Baik. yang pada gilirannya mengurangi biaya pengembangan dan pemeliharaan sistem. kinerjanya dapat terpengaruh secara negatif. Berbagai kebutuhan bahwa sistem terpusat diharapkan dapat memuaskan juga meminta komputer yang sangat umum dan menggunakan sistem operasi yang kompleks. yang dulunya merupakan pembenaran untuk mengkonsolidasikan data di lokasi sentral. Selama bertahun-tahun. Untuk alasan ini. (1) data dapat diedit dan dimasukkan oleh pengguna akhir. 11 . dapat mengurangi keuntungan dari kekuatan pemrosesan mentahnya. Karena distribusi tanggung jawab di lingkungan DDP. sehingga menghilangkan tugas penyusunan data terpusat dan (2) kerumitan aplikasi dapat dikurangi. memilih bahasa pemrograman. Selain itu.

dan gempa bumi. dapat membebani pertimbangan penting manfaat ekonomi dan kelayakan operasional. pengguna berkeinginan untuk mengendalikan sumber daya yang mempengaruhi profitabilitas mereka. dan operator komputer) untuk bersikap responsif terhadap situasi spesifik mereka. Banyak inisiatif DDP terbukti tidak efektif.Pendukung DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik lebih besar daripada biaya tambahan yang dikeluarkan untuk mendistribusikan sumber daya ini. situs lain dapat menggunakan kelebihan kapasitas mereka untuk memproses transaksi situs yang hancur. Argumen terakhir yang mendukung DDP adalah kemampuan untuk mendukung fasilitas komputasi untuk melindungi dari potensi bencana seperti kebakaran. yang selama analisis pro dan kontranya. Setiap unit TI yang terpisah secara geografis dapat dirancang dengan kapasitas berlebih. dan bahkan kontraproduktif. Argumen ini membantah diskusi terdahulu yang mendukung pemusatan sumber daya organisasi. Jika bencana menghancurkan satu situs. Pendukung DDP mengklaim bahwa sistem distribusi kepada pengguna akhir memperbaiki tiga area kebutuhan yang sering kali tidak terpuaskan dalam model terpusat. dan (3) pengguna ingin lebih terlibat secara aktif dalam mengembangkan dan menerapkan sistem mereka sendiri. pengaturan ini memerlukan koordinasi yang erat antara manajer pengguna akhir untuk memastikan bahwa mereka tidak menerapkan perangkat keras dan perangkat lunak yang tidak kompatibel. mereka berpendapat bahwa jika kemampuan IT memang penting bagi keberhasilan operasi bisnis. Peningkatan Kepuasan Pengguna. banjir. pemrogram. Fleksibilitas Cadangan. (2) pengguna menginginkan profesional sistem (analis. Model terdistribusi menawarkan fleksibilitas organisasi untuk menyediakan cadangan. sabotase. Kemudian di bab ini kami memeriksa perencanaan pemulihan bencana untuk kontinjensi semacam itu. maka manajemen harus diberi kontrol atas sumber daya ini. Satu-satunya cara untuk mendukung sebuah situs komputer utama melawan bencana tersebut adalah dengan menyediakan fasilitas komputer kedua. karena pengambil keputusan melihat kebajikan sistem ini yang lebih 12 . (1) seperti yang dinyatakan sebelumnya. Tentu. MENGONTROL LINGKUNGAN DDP DDP membawa nilai prestise mutakhir tertentu. Mungkin manfaat DDP yang paling sering dikutip adalah peningkatan kepuasan pengguna. beberapa organisasi telah beralih ke DDP tanpa mempertimbangkan secara matang apakah struktur organisasi terdistribusi ini akan mencapai tujuan bisnis mereka dengan lebih baik.

tanya jawab (FAQs). kontrol. dan dukungan intranet.simbolis daripada nyata. Hasil uji kemudian didistribusikan ke area pengguna sebagai standar untuk membimbing keputusan akuisisi. Fungsi TI perusahaan juga bisa menyediakan meja bantuan. Fitur berharga dari grup perusahaan adalah fungsi layanan penggunanya. dan implementasi perangkat lunak dan perangkat keras dan menghindari banyak masalah yang dibahas sebelumnya. Kelompok sentral yang secara teknis cerdik seperti ini dapat mengevaluasi fitur. Peran penasehat ini ditunjukkan oleh garis putus-putus pada gambar 2. kebutuhan sebagian besar perusahaan jatuh di antara titik akhir ini.2 kelompok TI perusahaan menyediakan pengembangan sistem dan database. Hal ini memungkinkan organisasi untuk secara efektif memusatkan akuisisi. Seringkali. di mana pengguna dapat menelepon dan mendapat 13 . dan kompatibilitas sistem dengan industri dan organisasi dengan standar industri dan organisasi. Bagian ini mengulas beberapa perbaikan model DDP yang ketat. Selain itu. Sebelum mengambil langkah yang tidak dapat dipulihkan. Layanan Pengguna. pengujian. Kegiatan ini memberikan bantuan teknis kepada pengguna selama pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah perangkat keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk pengguna adalah cara terbaik untuk mendistribusikan informasi tentang masalah umum dan memungkinkan berbagi program yang dikembangkan pengguna dengan orang lain di organisasi. Pengujian Pusat Perangkat Lunak dan Perangkat Lunak Komersial Grup TI perusahaan terpusat lebih siap daripada pengguna akhir untuk mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat keras yang bersaing yang sedang dipertimbangkan.5 Fungsi ini sangat berkurang dalam ukuran dan status dari model terpusat yang ditunjukkan pada gambar 2. ruang obrolan bisa dibuat untuk memberikan diskusi berulir. Melaksanakan Fungsi Perusahaan Model yang sepenuhnya terpusat dan model terdistribusi menyajikan posisi ekstrem pada rangkaian alternatif struktural. pengambil keputusan harus menilai manfaat kontrol yang benar dapat mengurangi beberapa risiko DDP yang telah dibahas sebelumnya. pengelolaan untuk keseluruhan sistem selain saran teknis dan keahlian kepada komunitas TI terdistribusi.5 beberapa layanan yang diberikan dijelaskan selanjutnya. masalah kontrol yang telah dijelaskan sebelumnya dapat diatasi dengan menerapkan fungsi IT perusahaan seperti yang diilustrasikan pada gambar 2.

diagram alur logika. keterlibatan kelompok perusahaan dalam keputusan kerja dapat memberikan layanan yang berharga bagi organisasi. pernyataan misi. dan uraian tugas untuk fungsi utama. Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DPD dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan mendistribusikan ke area pengguna sesuai standar untuk pengembangan. untuk menentukan apakah individu atau kelompok melakukan fungsi yang tidak sesuai. Yakni lingkungan formal.tanggapan cepat terhadap pertanyaan dan masalah. Dokumentasi sistem. dan dokumentasi sistem. Hal ini meningkatkan tingkat kesadaran pengguna dan mendorong berlanjutnya pendidikan tenaga teknis. Standard-Setting Body. 14 . Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan untuk proyek tertentu bukan programmer desain asli. pemrograman. tentukan bahwa kebijakan segregasi sedang diikuti dalam praktik. termasuk bagan organisasi saat ini. • Melalui pengamatan. dan daftar kode program. • Pastikan operator komputer tidak memiliki akses ke rincian operasional logika internal sistem. Di banyak organisasi. Kelompok coporate4 seringkali lebih baik dilengkapi daripada pengguna untuk mengevaluasi kredensial teknis profesional sistem prospektif. informal. • Meninjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram memasukkan fasilitas tersebut dengan alasan selain kegagalan sistem. Ulasan personalia. staf layanan pengguna mengajarkan kursus teknis untuk pengguna akhir dan juga untuk petugas layanan komputer. tidak boleh menjadi bagian dari dokumentasi operasi. Tujuan Audit Tujuan auditor adalah untuk memverifikasi struktur fungsi TI dengan memisahkan setiap individu sesuai dengan tingkat risiko potensial serta dengan cara mempromosikan lingkungan kerja. Prosedur Audit Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI terpusat: • Meninjau dokumentasi yang relevan. seperti diagram alir sistem. Meskipun profesional sistem sebenarnya akan menjadi bagian dari kelompok pengguna akhir.

gas dan air. Lokasi fisik Lokasi fisik pusat komputer secara langsung mempengaruhi risiko kerusakan akibat bencana alam atau buatan manusia. pusat komputer harus berada di gedung berlantai satu konstruksi padat dengan akses terkontrol (dibahas selanjutnya). dan akuisisi perangkat keras dan perangkat lunak diterbitkan dan diberikan kepada TI yang didistribusikan • Pastikan kontrol kompensasi. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat komputer dan kontrol yang membantu mengurangi risiko dan menciptakan lingkungan yang aman. prosedur dan database dirancang dan berfungsi sesuai dengan standar perusahaan. bandara. Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi: • Tinjau bagan organisasi saat ini. Dataran banjir. dokumentasi. debu. daerah dengan tingkat kejahatan tinggi. Jendela bangunan tidak boleh terbuka dan sistem filtrasi udara harus ada yang mampu mengeluarkan serbuk sari. Saluran utilitas (listrik dan telepon) harus berada di bawah tanah. • Review dokumentasi sistem untuk memverifikasi bahwa aplikasi. pusat komputer harus jauh dari bahaya buatan manusia dan alam. Mengakses 15 . dan tungau debu. pemrosesan transaksi. dan uraian tugas untuk fungsi utama untuk menentukan apakah individu atau kelompok melakukan tugas yang tidak sesuai • Verifikasi bahwa kebijakan dan standar perusahaan untuk perancangan sistem. dan patahan geologi. dan efektivitas pengendalian internal lainnya yang lebih konvensional. Pusat harus jauh dari lalu lintas normal. seperti lantai atas bangunan atau bangunan terpisah yang terpisah. seperti pemantauan pengawasan dan manajemen. Konstruksi Idealnya. seperti pabrik pengolahan. Menemukan komputer di gedung bawah tanah meningkatkan risikonya terhadap banjir. pernyataan misi. PUSAT KOMPUTER Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian dari audit tahunan mereka. Berikut ini adalah area eksposur potensial yang dapat mempengaruhi kualitas informasi. Sedapat mungkin. catatan akuntansi. dipekerjakan bila segregasi tugas yang tidak sesuai secara ekonomi tidak mungkin dilakukan.

Pusat komputer juga harus menggunakan login masuk untuk pemrogram dan analis yang memerlukan akses untuk memperbaiki kesalahan program. Alat pemadam api manual harus diletakkan di lokasi yang strategis. 3. Akses harus dikontrol dengan papan tombol. Komputer beroperasi paling baik dalam suhu 70 sampai 75 derajat Fahrenheit dan kelembaban relatifnya sebesar 50 persen. beberapa fitur utama dari sistem seperti ini adalah sebagai berikut: 1. AC Komputer berfungsi paling baik di lingkungan ber-AC. Juga. Pemadam kebakaran Kebakaran adalah ancaman paling serius bagi peralatan komputer perusahaan. 5. Toleransi kesalahan 16 . kelembaban tinggi dapat menyebabkan jamur tumbuh pada kertas (seperti dokumen sumber) hingga peralatan. Alarm ini harus dihubungkan ke stasiun pemadam kebakaran permanen. Bangunan harus konstruksi yang baik untuk menahan kerusakan air yang disebabkan oleh peralatan penindas api. Pusat komputer harus menyimpan catatan akurat tentang semua lalu lintas tersebut. harus digunakan untuk membatasi akses ke pusat. Akses ke pusat komputer harus dibatasi oleh operator dan karyawan lain yang bekerja di sana. akses harus dipantau oleh kamera sirkuit tertutup dan sistem perekaman video. Kontrol fisik. Sebaliknya. seperti pintu terkunci. Penerapan sistem penanggulangan kebakaran yang efektif memerlukan konsultasi dengan spesialis. 2. Kesalahan dapat terjadi pada perangkat keras komputer saat suhu berangkat secara signifikan dari kisaran optimal ini. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar instalasi. 4. Banyak perusahaan yang menderita kebakaran di pusat komputer gulung tikar karena kehilangan catatan kritis. penyemprotan air dan bahan kimia tertentu di komputer bisa melakukan kerusakan sebanyak api. seperti piutang usaha. Namun. Misalnya. Harus ada sistem pemadam kebakaran otomatis yang mengeluarkan jenis penekan yang sesuai untuk lokasi. Pintu keluar api harus ditandai dengan jelas dan diterangi saat terjadi kebakaran. Untuk mencapai tingkat keamanan yang lebih tinggi. meskipun ada alarm darurat. risiko kerusakan rangkaian dari listrik statis meningkat saat kelembaban turun. dan menyediakan pendingin udara yang memadai sering menjadi persyaratan vendor.

fluktuasi daya. Jika terjadi pemadaman listrik yang berlebihan. Menerapkan kontrol toleransi kesalahan memastikan tidak ada satu titik kegagalan sistem potensial. daya cadangan akan memungkinkan sistem komputer dimatikan dengan cara yang terkendali dan mencegah kehilangan data dan korupsi yang seharusnya diakibatkan oleh sistem yang tidak terkendali. Kegagalan total hanya bisa terjadi jika beberapa komponen gagal. Redundant array disk independen (RAID). kerusuhan sipil. Peralatan yang digunakan untuk mengendalikan masalah ini meliputi regulator voltase. 17 . dan daya cadangan untuk jangka waktu yang wajar agar restorasi layanan daya komersial. Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya saat bagian dari sistem gagal karena kegagalan perangkat keras. generator. Selain itu. pelindung gelombang. Tujuan Audit Tujuan auditor adalah mengevaluasi kontrol yang mengatur keamanan pusat komputer. Uninterruptible power supplies. Fasilitas ini harus ditempatkan di area yang meminimalkan keterpaparannya terhadap kebakaran. dan bahaya lainnya. atau kesalahan operator. auditor harus menilai lokasi fisik pusat komputer. Uji Konstruksi Fisik. Auditor harus memperoleh rencana arsitektural untuk menentukan bahwa pusat komputer kokoh terbuat dari bahan tahan api harus ada drainase yang memadai di bawah lantai yang dinaikkan sehingga memungkinkan air mengalir jika terjadi kerusakan air dari api di lantai atas atau dari beberapa tempat lainnya. data yang hilang secara otomatis direkonstruksi dari komponen berlebihan yang tersimpan pada disk lainnya. Jika satu disk gagal. Prosedur Audit Berikut ini adalah pengujian kontrol keamanan fisik. kesalahan program aplikasi. termasuk kegagalan daya total. Secara khusus. Pasokan listrik yang diberikan secara komersial menghadirkan beberapa masalah yang dapat mengganggu operasi pusat komputer. auditor harus memverifikasi bahwa: • Kontrol keamanan fisik cukup memadai untuk melindungi secara sadar organisasi dari eksposur fisik • Cakupan asuransi atas peralatan memadai untuk memberi kompensasi kepada organisasi untuk penghancuran. 1. pemadaman. Serangan menyerang disk paralel yang mengandung unsur data dan aplikasi yang berlebihan. sumber. 2. dan variasi frekuensi. atau kerusakan pada pusat komputernya. Dua contoh teknologi toleransi kesalahan dibahas selanjutnya.

sebuah organisasi mungkin tidak menyadari bahwa hal itu telah melampaui kapasitas cadangannya sampai terlambat. Buktinya dapat diperoleh dengan meninjau catatan tes api resmi dari tes yang disimpan di pusat komputer. Sebagian besar sistem yang menggunakan RAID menyediakan pemetaan grafis dari penyimpanan disk mereka yang berlebihan. seperti waktu kedatangan dan keberangkatan. dan frekuensi akses. perusahaan dapat mencari cakupan biaya penggantian yang lengkap. Seiring sistem komputer perusahaan berkembang. Ini adalah tes yang sangat penting. Dari pemetaan ini. Auditor harus meninjau ulang dengan prosedur alternatif administrator sistem untuk pemulihan dari kegagalan disk. panas. auditor harus menentukan apakah tingkat RAID yang ada memadai untuk organisasi. Di sisi lain. Pusat komputer harus melakukan tes berkala terhadap satu daya cadangan untuk memastikan kapasitasnya memadai untuk menjalankan komputer dan pendingin ruangan. auditor dapat secara diam- diam mengamati proses dimana akses diizinkan. Jika organisasi tidak menggunakan RAID. Uji Raid. perusahaan mungkin ingin diasuransikan sebagian dan memerlukan pertanggungan minimum. tanpa tes semacam itu. jika digunakan. perangkat lunak. Auditor harus menetapkan bahwa akses rutin ke pusat komputer dibatasi pada pegawai yang berwenang. Uji Uninterruptible Power Supply. Uji Cakupan Asuransi. 18 . dapat diperoleh dengan meninjau log akses. Misalnya. ada di tempat dan diuji secara teratur.Pengujian Sistem Deteksi Kebakaran. Sistem deteksi kebakaran harus mendeteksi asap. potensi satu titik kegagalan sistem ada. Rincian tentang akses pengunjung (oleh pemrogram dan lainnya). mengingat tingkat risiko bisnis yang terkait dengan kegagalan disk. kebutuhan daya cadangan cenderung tumbuh secara proporsional. baik manual maupun otomatis. dan fasilitas fisiknya. Auditor setiap tahun harus meninjau cakupan asuransi organisasi di perangkat keras komputer. Auditor harus memverifikasi bahwa semua akuisisi baru dicantumkan pada polis dan peralatan dan perangkat usang telah dihapus. Polis asuransi harus mencerminkan kebutuhan manajemen dalam hal cakupan. dan hasilnya harus dicatat secara formal. dan asap yang mudah terbakar. tujuan. Uji Kontrol Akses. dan ketergantungannya meningkat. atau meninjau rekaman video dari kamera di jalur akses. Memang. Auditor harus menetapkan alat deteksi. Untuk menetapkan kebenaran dokumen ini.

dan nomor telepon darurat para anggota tim pemulihan dari bencana. Perencanaan pengatasan bencana adalah perencanaan yang dibuat untuk mengurangi dampak dari bencana terhadap perusahaan. Dalam hal ini auditor harus juga mengkaji daftar aplikasi penting untuk memastikan bahwa daftar tersebut lengkap. 19 . Para anggota tim harusajli pada bidang masing-masing dan memiliki pekerjaan tertentu yang ditugaskan. serta data master. Berbagai pengujian dilakukan. seperti pengecekan atau observasi terkait keberadaan tim penanganan bencana. yakni : 1. perencanaan pengatasan bencana. Perencanaan proteksi adalah perencanaan yang dibuat untuk mencegah terjadinya bencana. Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu perusahaan dalam melakukan pemulihan agar proses dapat berjalan kembali. Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan bahwa implementasinya dapat dilakukan serta praktis. yakni memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk menangani suatu bencana yang dapat meniadakan sumber daya komputer perusahaan. Mengikdentifikasi aplikasi penting Pada komponen ini. Prosedur auditnya. Auditor harus memverifikasi bahwa para anggota tim adalah karyawan yang masih bekerja dan menyadari tanggungjawab yang diberikan kepada mereka. alamat. dan back-upsoftware. Disaster recovery plan terdiri atas tiga perencanaan yaitu perencanaan proteksi. daftar aplikasi-aplikasi penting perusahaan. perusahaan atau organisasi harus menentukan daftar aplikasi penting yang menunjang operasional perusahaan. Rencana ini dibuat untuk membantu proses bisnis dari perusahaan serta mengurangi dampak bila terjadi bencana yang mengakibatkan kerusakan atau kehilngan data elektronik yang mendukung proses bisnis perusahaan. terdiri dari tiga aktivitas dasar.Disaster Recovery Plan (DRP) Disaster recovery plan (DRP) adalah sebuah proses atau kemampuan dari organisasi untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis organisasi. perencanaan pemulihan. 2. Spesifikasi Disaster recovery plan itu sendiri. Membangun tim penanganan bencana Disaster recovery plan (DRP) harus mencantumkan nama.

cadangan yang disediakan secara internal dan lain-lainnya. 3. Outsourcing Fungsi TI Dalam iklim persaingan usaha yang semakin ketat. IT outsourcing sendiri tidak berbeda jauh dengan definisi outsourcing secara umum. fungsi TI merupakan bidang penunjang (support function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien. Melalui outsourcing. perjanjian silang yang saling menguntungkan. Pilihan yang tersedia yaitu hot site (pusat operasi pemulihan) dan cold site (ruang kosong). perusahaan berusaha untuk melakukan efisiensi biaya produksi (cost of production). antara lain: 20 . IT outsourcing adalah penyediaan tenaga ahli yang profesional dibidang teknologi informasi untuk mendukung dan memberikan solusi guna meningkatkan kinerja perusahaan. Sebagai support function fungsi IT di-outsource pada perusahaan outsourcing TI. perusahaan dapat memfokuskan segenap sumberdaya yang dimilikinya untuk mencapai misi organisasi. Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan IT outsourcing. Salah satu solusinya adalah dengan sistem outsourcing. perusahaan juga dapat meningkatkan efisiensinya karena dikerjakan oleh pemberi jasa yang mempunyai spesialisasi pada bidangnya dan perusahaan dapat mengurangi biaya langsung dan biaya overhead pada bidang yang di-outsource. Seorang auditor harus mengevaluasi kecukupan pengaturan lokasi cadangan. sehingga perusahaan mampu memberikan layanan terbaik pada konsumen. Selain itu. dengan pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih memfokuskan diri pada bidang usaha yang ditekuninya. dengan outsourcing. dimana dengan sistem ini perusahaan diharapkan dapat menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang bekerja di perusahaan yang bersangkutan. Salah satu bidang yang menjadi obyek outsourcing pada berbagai perusahaan adalah fungsi TI. Menyediakan situs back-up cadangan Bahan yang sangat penting di dalam sebuah DRP adalah rencana tersebut memungkinan adanya fasilitas pemprosesan data duplikat setelah terjadi suatu bencana. Outsourcing atau contracting out adalah pemindahan pekerjaan dari satu perusahaan ke perusahaan lain. Bagi perusahaan.

2. karena outsourcer memang spesialisasi dan ahli di bidang tersebut. auditor harus mampu melakukan audit. Rentan dapat ditiru oleh pesaing lain bila aplikasi yang dioutsourcingkan adalah aplikasi strategik e. dimana IT outsource sangat berhubungan dengan data perusahaan d. Adanya kecenderungan outsourcer untuk merahasiakan sistem yang digunakan dalam membangun sistem informasi bagi pelanggannya agar jasanya tetap digunakan. Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-nilai positif dari sistem dan teknologi informasi. Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI d. Resiko terhadap keamanan data perusahaan. Mengurangi biaya dari pengadaan fungsi TI di perusahaan e. Teknologi yang maju. b. 1. dimana tujuan audit dan metodologinya tetap sama. Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan sendiri secara internal. Risks Inherent to IT Outsourcing Walau demikian penerapan strategi outsourcing fungsi TI bukan berarti tanpa kendala. IT outsourcing memberikan akses kepada organisasi klien berupa kemajuan teknologi dan pengalaman personil. Kegagalan dalam keselarasan strategi antara perencanaan TI dengan perencanaan bisnis perusahaan secara keseluruhan f. outsourcing tidak memperkenalkan unsur-unsur baru tertentu yang perlu dipertimbangkan. Audit Implications of IT Outsourcing Dalam situasi dimana perusahaan melakukan outsourcing terhadap sumber daya TI yang dimiliki. application support and 21 . seperti: software development. a. antara lain: a. Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan c. Ada resiko-resiko yang mungkin terjadi bila perusahaan meng-outsource fungsi TI-nya. Performa dari sumber daya IT dapat gagal karena itu semua bergantung pada vendor atau penyedia layanan b. c. Area-area yang berhubungan dengan audit pada IT oursourcing.

titik awal yang baik dalam mengaudit adalah dari kontrak outsourcing. Auditor harus memeriksa apakah mekanisme telah ditetapkan untuk pemantauan keamanan dan proses yang terkait. due diligence dan negosiasi. Untuk auditor. seperti ketersediaan kelanjutan dari jasa. tingkat layanan dan keamanan informasi b. Menelaah apakah tujuan dari outsourcing tercapai c. Auditor harus membuat pengawasan menyeluruh terhadap kontrak. Auditor harus memeriksa apakah proyek pekerjaan benar-benar dilakukan oleh penyedia layanan dan sama dengan yang disebutkan dalam kontrak. Auditor harus memeriksa apakah kebijakan keamanan dan proses dari penyedia layanan sinkron dengan orang-orang dari perusahaan. infrastructure management services. Tujuan dari audit ini sendiri. dengan pertukaran komunikasi antara perusahaan dan penyedia layanan selama periode waktu. c) Data security Berbagai tingkat akses ke aplikasi dan sistem harus diberikan kepada personil penyedia layanan untuk memungkinkan mereka melaksanakan pekerjaan. tergantung pada sifat dari pekerjaan 22 . antara lain: a. Keamanan berkaitan dengan menjaga kerahasiaan. seperti: a) Contract Kebanyakan pengaturan outsourcing diberlakukan setelah proses rinci evaluasi. Penting bagi kedua belah pihak untuk memiliki dokumen kontrak yang memiliki kekuatan hukum dan merinci harapan yang disepakati mengenai berbagai aspek pengaturan.maintenance. b) Statement of work Informasi penting berikutnya dari sebuah kontrak adalah statement of work atau laporan kerja yang berisi daftar pekerjaan yang harus dilakukan oleh penyedia layanan. seperti yang akan dilakukan untuk setiap kontrak komersial besar. integritas dan ketersediaan informasi. Menilai resiko yang terkait dengan outsourcing. Dalam beberapa kasus. dan mengevaluasi semua risiko seperti yang dilakukan dalam pemeriksaan kontrak. Prosedur yang tepat harus ditentukan untuk menentukan bagaimana akses tersebut diberikan dan dipelihara. Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana IToutsourcing Seorang auditor dapat membuat checklist mengenai hal-hal penting selama mengaudit IT out sourcing.

perusahaan tidak boleh melupakan kenyataan bahwa TI berdampak pada bisnis secara signifikan dan bermanfaat bagi perusahaan. Outsourcing perlu dimasukkan ke dalam bisnis dan strategi TI perusahaan. d) Impact on IT strategy IT outsourcing sering dilakukan dalam skala yang cukup besar. Auditor harus melakukan cek dari keseluruhan skenario TI perusahaan setelah outsourcing 23 . personil dari penyedia layanan bahkan mungkin diberi akses superuser ke beberapa sistem.outsourcing. Dalam proses outsourcing.

24 . praktik umum mengenai investasi TI adalah untuk menunda semua keputusan terhadap profesional TI perusahaan. Kontrol Tata Kelola TI Meskipun semua masalah tata kelola TI penting bagi organisasi. Sebelum Undang-Undang Sarbanes-Oxley (SOX). tidak semuanya merupakan masalah pengendalian internal di bawah SOX yang berpotensi mempengaruhi proses pelaporan keuangan. Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan bahwa investasi sumber daya TI memberi nilai tambah bagi korporasi. KESIMPULAN Tata kelola Teknologi Informasi (TI) merupakan subset yang relatif baru dari tata kelola perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis.

Information Techology Auditing. 25 . South-Western Cengange Learning. James A. USA. 3e. REFERENSI . Hall.